Segurança da Microsoft é questionada após ataque cibernético chinês.

A recente invasão cibernética chinesa desencadeou um debate significativo sobre a responsabilidade dos fornecedores de serviços em nuvem em garantir a segurança dos seus clientes. O serviço em nuvem de primeira linha da Microsoft, que aparentemente oferece melhor segurança, tornou-se um ponto focal, com funcionários do governo Biden e o senador Ron Wyden a criticarem a empresa por não disponibilizar informações cruciais de registo a todos os utilizadores.

O software de registo desempenha um papel fundamental na deteção e investigação de ciberataques, mantendo um registo de toda a atividade do servidor. No entanto, este incidente revelou que os dados críticos de registo necessários para identificar o ataque estavam disponíveis exclusivamente para clientes do serviço premium de nuvem da Microsoft, de acordo com funcionários da Agência de Segurança Cibernética e Infraestrutura (CISA) do Departamento de Segurança Interna que trabalham com a equipa de resposta a incidentes da Microsoft DART.

O ataque divulgado afetou quase duas dúzias de organizações em todo o mundo, com os departamentos de Estado e Comércio entre as vítimas. O ataque não foi apenas uma violação comum; envolveu um grau incomum de sofisticação técnica, visando vítimas específicas, enfatizando os riscos em jogo para a cibersegurança na nossa era digital.

O Departamento de Estado identificou a invasão pela primeira vez, reportando-a à Microsoft no mês anterior. No entanto, a ferramenta utilizada para descobrir a violação não está incluída em todos os pacotes do Microsoft 365. Essa ferramenta faz parte do pacote de licenciamento Microsoft 365 de nível mais alto, conhecido como E5, que tem um preço aproximadamente 60% mais alto do que o pacote E3, oferecendo uma gama mais ampla de recursos. Para entidades governamentais, esses pacotes são identificados como G5 e G3, respetivamente.

Na sequência do episódio de pirataria informática, os responsáveis da administração Biden expressaram na quarta-feira que a Microsoft precisa de tornar essas informações vitais amplamente acessíveis. Um alto funcionário da Agência de Cibersegurança e Segurança de Infraestruturas (CISA) durante uma conferência de imprensa para discutir o incidente enfatizou que «todas as organizações que utilizam um serviço tecnológico como o Microsoft 365 devem ter acesso a registos e outros dados de segurança prontos a usar para detetar razoavelmente atividades cibernéticas maliciosas».

Todas as organizações que utilizam um serviço de tecnologia como o Microsoft 365 devem ter acesso a registos e outros dados de segurança prontos a usar para detetar de forma razoável atividades cibernéticas maliciosas.

-Funcionário sénior da CISA

Paralelamente, está em curso uma investigação para determinar se a Microsoft cumpriu as disposições federais de cibersegurança para fornecedores de serviços em nuvem. O senador Ron Wyden, uma figura ativa no Comité de Inteligência do Senado em questões de cibersegurança e política tecnológica, criticou a prática de cobrar um valor adicional por funcionalidades de segurança essenciais. Ele comparou isso a vender um carro e depois cobrar taxas adicionais por cintos de segurança e airbags.

Em resposta à crescente pressão, a Microsoft anunciou que estava a explorar possíveis soluções. Um porta-voz da Microsoft afirmou na quinta-feira: «Estamos a avaliar os comentários e estamos abertos a outros modelos. Estamos a trabalhar ativamente com a CISA e outras agências nesta questão.»

A descoberta desta campanha de pirataria informática generalizada deveu-se aos especialistas em segurança do Departamento de Estado, que, munidos de ferramentas de registo, notaram atividades invulgares na sua rede em junho. Após ter sido informada da situação, a Microsoft conseguiu identificar as vítimas, mesmo aquelas que não tinham subscrito o serviço premium.

O cerne da questão reside nos ficheiros de registo, que são registos digitais que rastreiam a atividade na nuvem da Microsoft. Esses registos contêm informações inestimáveis, como o navegador e o sistema operativo usados para aceder ao sistema, cruciais para rastrear atividades criminosas após um ataque hacker.

A complexidade surge com o advento da computação em nuvem, onde as responsabilidades são divididas entre operadores de nuvem, como a Microsoft, e os seus clientes. Os fornecedores argumentam que reter grandes volumes desses dados pode ser caro, enquanto os clientes muitas vezes não têm consciência da necessidade desses registos até que ocorra um ataque hacker, momento em que pode ser tarde demais para recuperá-los.

A Volexity, uma empresa de segurança cibernética, revelou um caso específico em que os registos limitados da licença mais barata do Microsoft 365 E3 de um cliente não conseguiram revelar evidências do ataque. Esta questão ressalta a importância de recursos abrangentes de registo e levanta questões sobre se os recursos de segurança premium devem ser acessíveis a todos os utilizadores.

À medida que a computação em nuvem se torna mais prevalente, cabe tanto aos fornecedores de serviços em nuvem quanto aos clientes garantir que medidas adequadas sejam implementadas para detectar e mitigar ataques cibernéticos. Este incidente serve como um forte lembrete das lacunas que podem existir na infraestrutura de segurança cibernética e da importância de adotar uma abordagem abrangente para a segurança digital.